Insider Threats

Unternehmen sind Anfällig für Innentäter

| Autor / Redakteur: Bert Skorupski / Peter Schmitz

Nach einer Studie fühlen sich 90 Prozent der Unternehmen anfällig gegenüber Insider-Angriffen. Zu den wichtigsten Risikofaktoren gehören Benutzer mit zu vielen Zugriffsrechten.
Nach einer Studie fühlen sich 90 Prozent der Unternehmen anfällig gegenüber Insider-Angriffen. Zu den wichtigsten Risikofaktoren gehören Benutzer mit zu vielen Zugriffsrechten. (Bild: Pixabay / CC0)

Wenn über Bedrohungen der Unternehmens-IT diskutiert wird, liegt der Fokus meistens bei Gefahren durch Hacker, Cyber-Kriminelle und wie man dieser Bedrohung Herr werden kann. Etwas aus dem Blickfeld gerät dabei ein viel tiefer gehender Risikofaktor: Die Gefahren, die sich aus fahrlässigem oder böswilligen Verhalten eigener Mitarbeiter, Auftrag­nehmer oder Geschäftspartner ergeben können.

Das Thema „Innentäter“ beleuchtet die Studie „Insider Threat 2018 Report“ des Marktforschungsunternehmens Crowd Research Partners, die gemeinsam von der Online-Plattform Cybersecurity Insiders und der Information Security Community auf LinkedIn mit Unterstützung von Quest Software beauftragt wurde.

Die Ergebnisse der Studie sprechen eine deutliche Sprache. So fühlen sich 90 Prozent der Unternehmen anfällig gegenüber Insider-Angriffen. Zu den wichtigsten Risikofaktoren gehören vor allem zu viele Benutzer mit überhöhten Zugriffsrechten (37 Prozent), eine zunehmende Anzahl von Geräten mit Zugriff auf sensible Daten (36 Prozent) und die zunehmende Komplexität der Informationstechnologie (35 Prozent).

Generell sind sich Unternehmen der internen Bedrohung bewusst. Immerhin zwei Drittel der Unternehmen halten böswillige Insider-Angriffe oder versehentliche Verletzungen für wahrscheinlicher als externe Angriffe. Dies deckt sich auch mit den praktischen Erfahrungen der Befragten. Etwas mehr als die Hälfte (53 Prozent) hat im Verlauf der vergangenen zwölf Monate Insider-Angriffe auf ihr Unternehmen verzeichnen müssen – typischerweise bis zu fünf Angriffe. Einen Anstieg der Insider-Angriffe berichteten dabei 27 Prozent der Studienteilnehmer.

Erkennung von Bedrohungen im Fokus

Deswegen verlagern 64 Prozent der Unternehmen ihren Fokus mittlerweile als Präventionsmaßnahme auf die Erkennung von Insider-Bedrohungen. Eine Sensibilisierung von Mitarbeitern, verbunden mit Sanktionsandrohungen bei Zuwiderhandlungen, nehmen 58 Prozent der Befragten vor. Schließlich setzen 49 Prozent auf Analyse und Forensik als reaktive Maßnahme nachdem Sicherheitsbrüche durch Insider erfolgt sind.

Insgesamt nimmt die Überwachung des Nutzerverhaltens als Vorsorge zu: 94 Prozent der Unternehmen setzen eine Methode zur Überwachung von Benutzern ein und fast genau so viel (93 Prozent) überwachen den Zugriff auf sensible Daten.

Programme gegen Insider-Bedrohungen existieren

Die überwiegende Mehrheit (86 Prozent) der Unternehmen hat bereits ein Insider-Bedrohungsprogramm implementiert oder baut gerade eines auf. Sechsunddreißig Prozent verfügen über ein formelles Programm zur Reaktion auf Insider-Angriffe, während sich die Hälfte der Befragten auf die Entwicklung ihres Programms konzentrieren.

Hier behelfen sich 63 Prozent mit einem Intrusion and Prevention System (IDS/IPS), um Insider Attacken zu erkennen und zu analysieren. Immerhin 62 Prozent setzen davon unabhängig auf ein Log-Management, das Zugriffe der Mitarbeiter aufzeichnet. Knapp über die Hälfte – 51 Prozent – führen ein Security Information und Event Management (SIEM) durch, dass bei bestimmten Ereignissen selbständig reagiert und 40 Prozent der Umfrageteilnehmer nutzen Predictive Analytics um bereits im Vorfeld über Gefahrensituationen im Bilde zu sein.

Bordmittel reichen oft nicht

Die meisten Unternehmen nutzen Microsoft Active Directory (AD) beziehungsweise Azure Active Directory (AAD), um die Zugriffe und Rechte ihrer Mitarbeiter zu verwalten. Besonders die Nutzung von Cloud-Diensten wie etwa Office 365 zieht die Nutzung von AAD mit sich.

Leider können die mitgelieferten Administrations-Tools den tatsächlichen Anspruch von Unternehmen an die IT-Sicherheit oft nicht erfüllen. Daher bieten einige Hersteller passende Lösungen an, die bei der wirksamen Bekämpfung von Insider Threats helfen.

So kann ein Modul, das das Verhaltensmuster von Nutzern analysiert und darstellt, anomale Aktivitäten erkennen, die auf kompromittierte Anmeldeinformationen oder eine missbräuchliche Verwendung von Mitarbeiterkonten hinweist. Dieser Prozess erfolgt automatisch und proaktiv. Hierzu werden proprietäre Lerntechnologien verwendet, die auf künstlicher Intelligenz basieren. Diese arbeiten mit Benutzer- und Entity-Verhaltensanalysen sowie Scoring-Algorithmen und identifizieren dadurch Benutzer mit hohem Risiko. Ferner bietet eine IT-Sicherheitssuche – ähnlich einer Suchmaschine – Administratoren und Sicherheitsteams die Möglichkeit einer schnellen Reaktion auf Vorfälle und die Analyse innerhalb einer Ereignisforensik. Sie nutzt beispielsweise eine Konformitätsprüfung von AD- und AAD-Konten, die über Berechtigungsstrukturen informiert.

Zudem sollte eine Lösung zur Eindämmung von Insider Threats über einen Auditor verfügen, der eine detaillierte Forensik und Sicherheitsüberwachung in Echtzeit über sämtliche Nutzer-, Administratoren- und Gruppenänderungen aufweist. Da Unternehmen meist über eine sehr weitreichende IT verfügen, sollten nicht nur AD- und AAD-Konten überwacht werden, sondern auch andere Einflussgrößen wie etwa Exchange beziehungsweise Exchange Online, NAS-Geräte oder SQL-Datenbanken. Nicht zuletzt muss die Verwaltung der Konten rollenbasiert implementiert werden, um die entsprechenden Berechtigungen automatisiert und nachvollziehbar zu gewähren.

Sicherheit überlebensnotwendig

In aller Regel ziehen Angriffe durch die fahrlässige Nutzung von Mitarbeiterkonten und Berechtigungen einen viel größeren und nachhaltigeren Schaden für ein Unternehmen mit sich als externe Angriffe. Es liegt an den IT-Verantwortlichen, durch die Wahl entsprechender Lösungen die Risiken für ihr Unternehmen minimieren und so deren Fortbestand sichern.

Über den Autor: Bert Skorupski ist Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45629217 / Hacker und Insider)